Gần đây lại thấy có người hỏi “GitHub mã nguồn mở + kiểm toán = an toàn chưa”. Nói trắng ra, tất cả chỉ là điểm cộng, không phải là lá chắn bảo vệ. Người mới muốn xem độ tin cậy, tôi nghĩ trước tiên đừng chăm chăm vào sao và độ hot trên Twitter, hãy xem lịch sử gửi góp có luôn có người bảo trì không, những thay đổi chính có giải thích rõ ràng không, trong issue có ai báo lỗi bảo mật rồi được xử lý nghiêm túc không; báo cáo kiểm toán cũng đừng chỉ nhìn vào phần bìa “được chấp thuận”, trọng tâm là xem các điểm nguy hiểm có được sửa không, có qua kiểm tra lại không, việc sửa chữa được xác nhận như thế nào. Còn về nâng cấp đa chữ ký, nói là “quản trị phi tập trung” nghe hay đấy, nhưng quyền hạn có tối thiểu nhất không, ai có thể tạm dừng khẩn cấp, người ký có phải là một nhóm người đổi tên giả không, những chi tiết này mới là những điểm mấu chốt. Gần đây, phong trào tuân thủ và đánh thuế tăng mạnh, mọi người dự đoán về việc gửi rút tiền trở nên rất nhạy cảm, càng lo lắng càng dễ bị an ủi bằng ba chữ “đã kiểm toán”… Dù sao tôi vẫn theo thói quen cũ: phân chia kho, chậm lại, đừng tin vào câu chuyện hoàn hảo. Tôi đi làm việc đây.